iptables与stun

核心提示： 现针对Symmetric NAT举例说明（承接前例）: A机器连接过B机器，假使是 A（192.168.0.4:5000）-> NAT（转换后210.21.12.140:8000）-> B（210.15.27.166:2000） 如果此时A机器（192.168.0.4:5000

现针对Symmetric NAT举例说明（承接前例）:

A机器连接过B机器，假使是 A（192.168.0.4:5000）-> NAT（转换后210.21.12.140:8000）-> B（210.15.27.166:2000）

如果此时A机器（192.168.0.4:5000）还想连接C机器（210.15.27.140:2000），则NAT上产生一个新的映射，对应的转换可能为A（192.168.0.4:5000）-> NAT（转换后210.21.12.140:8001）-> C（210.15.27.140:2000）。此时，B只能用它的210.15.27.166:2000通过NAT的210.21.12.140:8000与A的192.168.0.4:5000通信， C也只能用它的210.15.27.140:2000通过NAT的210.21.12.140:8001与A的192.168.0.4:5000通信，而B或者C的其他端口则均不能和A的192.168.0.4:5000通信。

通过上面的例子，我们应该清楚了Stun协议对NAT进行分类的依据。那么，我们现在根据上述分类标准（或例子），来简要分析一下iptables的工作原理，看看他又是属于哪种NAT呢？

首先，我们去网上下载一个使用Stun协议检测NAT的工具，网址在http://sourceforge.net/projects/stun/，使用该工具对iptables的检测结果是Port restricted NAT detected。

我们先不要急着接受这个检测结果，还是先来分析一下iptables的工作原理吧！

iptables在转换地址时，遵循如下两个原则：

1、尽量不去修改源端口，也就是说，ip伪装后的源端口尽可能保持不变。

2、更为重要的是，ip伪装后只需保证伪装后的源地址/端口与目标地址/端口（即所谓的socket）唯一即可。

仍以前例说明如下：

A机器连接过B机器，假使是 A（192.168.0.4:5000）-> NAT（转换后210.21.12.140:5000）-> B（210.15.27.166:2000）。（注意，此处NAT遵循原则1、故转换后端口没有改变）